Wie gesagt, für diesen Angriff müsste der Schadcode, der den Schadcode aus der Signatur nachlädt, bereits im Open-Source code der App sein. Wenn wir bereits Schadcode im Open-Source code der App annehmen, kann durch diese Lücke auch kein zusätzlicher Schaden entstehen.
Ich will nicht sagen, dass man diese Lücke nicht schließen sollte. Es ist aber ein Klassiker in der Community, bei einem sehr komplexen Thema wie diesem einfach ohne Verstand drauf zu hauen...
pixelschubsi
npub1te…7rm0u
2025-01-06 13:15:03 UTC
in reply to nevent1q…0scc
Author Public Key
npub1tekutp4hugeck74ujhu9gt3nqps7pj45l0ddensmadlsna7w0d4sv7rm0uSeen on
wss://relay.momostr.pinkPublished at
2025-01-06 13:15:03 UTCEvent JSON
{
"id": "b9f177cf45e89c84b1c82a72cb09fa5a5158fa60933da4f3281c6a5861161cbc",
"pubkey": "5e6dc586b7e2338b7abc95f8542e330061e0cab4fbdadcce1beb7f09f7ce7b6b",
"created_at": 1736169303,
"kind": 1,
"tags": [
[
"proxy",
"https://troet.cafe/@pixelschubsi/113781591450220643",
"web"
],
[
"p",
"9ef5edc71539038c1b0af116b47aebdf2ebe4e966f6cfab2c1441436e7b9b537"
],
[
"p",
"5e6dc586b7e2338b7abc95f8542e330061e0cab4fbdadcce1beb7f09f7ce7b6b"
],
[
"e",
"712e76421dde8e4e2da2f89d19bad5fec2a3bcba505571e29ed4723d80a92e59",
"",
"root",
"46a4087731df7384d590867906b556b8b1f78a8b64ffc77e9ddcaed2eaca408e"
],
[
"e",
"e81f37eb444a4f05bc57aec3fcf13f2f7e7028cc7a7cb749922e05f2b2225ad0",
"",
"reply",
"46a4087731df7384d590867906b556b8b1f78a8b64ffc77e9ddcaed2eaca408e"
],
[
"p",
"46a4087731df7384d590867906b556b8b1f78a8b64ffc77e9ddcaed2eaca408e"
],
[
"p",
"878387174acfc4f898c58ed65e574a7fee89287bc670db59018236ae6e8f14dd"
],
[
"proxy",
"https://troet.cafe/users/pixelschubsi/statuses/113781591450220643",
"activitypub"
],
[
"L",
"pink.momostr"
],
[
"l",
"pink.momostr.activitypub:https://troet.cafe/users/pixelschubsi/statuses/113781591450220643",
"pink.momostr"
],
[
"-"
]
],
"content": "Wie gesagt, für diesen Angriff müsste der Schadcode, der den Schadcode aus der Signatur nachlädt, bereits im Open-Source code der App sein. Wenn wir bereits Schadcode im Open-Source code der App annehmen, kann durch diese Lücke auch kein zusätzlicher Schaden entstehen.\n\nIch will nicht sagen, dass man diese Lücke nicht schließen sollte. Es ist aber ein Klassiker in der Community, bei einem sehr komplexen Thema wie diesem einfach ohne Verstand drauf zu hauen...",
"sig": "ede9e17ea35a9f1b30f4866dede22d4f46c6aa136159e6f1e7f62a5d56ad016818b3a23a8db0f1fea8f10c0fa7cfb641c288b09c17162499bd32697effafb6d2"
}